為了保障系統的安全,Bastionhost提供使用者登入方式、使用者鎖定和使用者狀態配置功能。您可以配置使用者SSH登入Bastionhost時僅可使用密鑰認證;配置使用者密碼的鎖定策略,防止使用者密碼被暴力破解;配置使用者狀態,系統管理使用者密碼的有效期間、標記長期未登入使用者帳號等。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,單擊系統設定。
在使用者配置頁簽,參考下表進行相關配置,單擊儲存。
配置項
說明
使用者登入配置
禁止SSH密碼登入
開啟後,在進行SSH協議營運或SSH隧道營運時,將禁止使用密碼登入Bastionhost,僅可使用密鑰或營運令牌認證。
禁止SSH密鑰登入
開啟後,通過SSH協議營運工具登入Bastionhost營運主機或通過SSH隧道營運資料庫時,將禁用密鑰認證,僅允許使用密碼登入或營運令牌進行登入。
關閉私網營運門戶人機驗證
開啟後,通過私網地址登入營運門戶時不再進行人機驗證。由於營運門戶人機驗證需要在公網環境中進行,因此在用戶端無公網的情況下,需啟用此配置,以防止無法登入私人網營運門戶。
使用者鎖定配置
密碼嘗試次數
使用者登入時密碼連續錯誤的最大次數,超過最大次數,則鎖定該使用者。
取值範圍:0~999,預設值為5。設定為0,表示不鎖定賬戶。
鎖定時間長度
使用者鎖定後,無法登入的時間長度,單位:分鐘。
取值範圍:0~10080,預設值為30。設定為0,表示鎖定使用者直到管理員解除。
重設計數器
密碼錯誤嘗試次數未超過設定的密碼嘗試次數時,重新開始計算密碼嘗試次數的時間,單位:分鐘。
例如,密碼嘗試次數設定為5,重設計數器設定為5,當您在14:00:00第4次使用錯誤密碼登入失敗,並且您在14:00:00~14:05:00期間沒有再次使用錯誤密碼登入時,在當日14:05:00後,錯誤密碼的嘗試次數將從0開始計算。
取值範圍:0~10080,預設值為5。
使用者密碼安全配置
密碼有效期間
使用者密碼的有效時間長度,超過有效時間長度後,需要重新設定密碼。密碼有效期間只對本機使用者生效。
取值範圍:0~365,預設值為0,單位:天。設定為0,表示密碼不會到期。
使用者歷史密碼檢查
使用者重設密碼時,不能重設為該使用者曾使用過的密碼。取值範圍:0~30個。預設值為5,0表示不做限制。
用戶狀態配置
使用者長時間未登入標記
使用者超過設定的時間未登入時,使用者狀態標記為長時間未登入,單位:天。
取值範圍:0~365,預設值為0。設定為0,表示不標記狀態。
長時間未登入用戶自動鎖定
開啟後,系統將自動鎖定長時間未登入使用者,該使用者被管理員解鎖後才可正常使用。
自動同步已匯入AD/LDAP使用者資訊和狀態
自動同步已匯入Bastionhost的AD或LDAP使用者源中使用者配置資訊和狀態的時間間隔,單位:分鐘。
取值範圍:15~14400,預設值為240。